Académique Documents
Professionnel Documents
Culture Documents
Dans ce chapitre, je vous présente le principe et les étapes d'une APT « Advanced
Persistent Threat » et les impacts qu'elles peuvent avoir en matière de vol de
données, voire de sabotage du système d'information ou d'infrastructures
industrielles.
La propagation latérale
L'objectif de cette étape est de récupérer le plus de données d'authentification
possible afin de se connecter au plus de systèmes possible pour à nouveau y
récupérer des données.
La propagation latérale va se faire assez simplement en collectant sur le premier
poste compromis les données d’authentification des utilisateurs, de l’administrateur
local, des mots de passe conservés en mémoire de tous les utilisateurs,
administrateurs ou tâches de service qui sont utilisées sur le poste. L’attaquant peut
ensuite réutiliser ces données d’authentification pour se connecter sur d’autres
postes de travail et y installer son cheval de Troie.
Plus l’attaquant a compromis de postes et plus il aura de chance de trouver sur l’un
d’eux des données d’authentification d’administrateur avec le plus haut niveau de
privilège, par exemple un Administrateur de Domaine Windows.
A défaut, il peut aussi viser des postes de travail sensibles, comme ceux des
administrateurs ou des composants d’infrastructures critiques, comme le serveur de
sauvegarde, le serveur de distribution de logiciels et de mises à jour, le serveur de
supervision, etc. Ces systèmes ont souvent le droit de se connecter sur tous les
autres composants du système d’information, la plupart du temps avec un niveau de
privilège élevé.
APT - Propagation latérale
La rémanence
Une fois en possession des clé de la maison, l’attaquant va pouvoir installer les
logiciels malveillants qui lui permettront de rester le plus longtemps possible.
Il peut s’agir d’installer un cheval de Troie sur les différents systèmes. Parfois, en
installer plusieurs différents histoire de résister à l’identification et au nettoyage de
l’un d’eux.
Le Command&Control
L’attaquant a maintenant le contrôle de la majeure partie du système d’information, il
ne lui reste plus qu’à organiser la manière dont il va contrôler les systèmes et
exfiltrer des données volées.
Le plus souvent, ses chevaux de Troie communiquent par HTTP ou HTTPS. Il est
fréquent qu’il utilise aussi d’autres vecteurs de sortie, comme des accès VPN, des
points accès Internet annexes, parfois mal identifiés et non maîtrisés par la DSI.
Il peut aussi transmettre des documents par mail, utiliser une « boite morte » dans
un Webmail. Par exemple avoir des mails en Brouillon, avec une pièce jointe, qui
sont créés de l’intérieur du réseau, jamais envoyé, récupéré par l’accès externe du
Webmail puis supprimé.
Un accès Sharepoint pourra aussi lui être très utile pour déposer des archives de
documents et les récupérer par l’accès qui serait ouvert depuis Internet. Comme
pour la persistance, un des enjeux pour l’attaquant sera de diversifier ses canaux
de contrôle et d’exfiltration de documents. Et il pourra sortir parfois pendant des mois
et des mois plusieurs centaines de Go !
APT - Exfiltration
Le sabotage de systèmes
De plus en plus de cas nous montrent qu’une APT n’a pas forcément comme impact
uniquement le vol de données, mais peut aller jusqu’au sabotage du système
d’information ou d’une infrastructure industrielle !
renseignement humain,
piratage de fournisseurs,
infection initiale par média amovible en utilisant une vulnérabilité jusque-là
inconnue,
reprogrammation des automates qui contrôlent les cascades de
centrifugeuses pour les faire tourner à une fréquence de rotation qui les
endommage,
piratage du superviseur SCADA pour afficher néanmoins la fréquence
normale et non celle qui sort des limites de fonctionnement…
Bref, un cocktail détonnant dans ce scénario d’attaque évoluée, qui a induit des
dégâts de plusieurs centaines de millions d’euros et des retards de plusieurs années
sur le programme d’enrichissement iranien !
Dans le chapitre suivant, nous verrons les principes d'architecture qui permettent de
bloquer les attaques élémentaires ou les différentes étapes d'une APT.
En résumé
La compromission initiale, source d'une APT, peut provenir de vecteurs
variés : spear phishing, sites web compromis, pièce jointe piégée,
compromission de fournisseurs, etc.
Les attaquants peuvent rebondir sur des centaines ou milliers de systèmes
de l'infrastructure.
Ils organisent leur rémanences pour rester maître des systèmes compromis
pendant parfois plusieurs années.
L'APT peut aller jusqu'au sabotage du système d'information et
d'infrastructures industrielles.